企业内控审计指导手册

企业内控审计指导手册一、企业内控审计概述

内控审计是企业风险管理的重要组成部分，旨在通过系统性的方法评估和改善企业的内部控制体系，确保企业运营效率、财务报告可靠性以及法律法规遵循性。本手册旨在为企业的内控审计工作提供指导，涵盖内控审计的基本概念、流程、方法和关键要点。

（一）内控审计的定义与目标

1.内控审计的定义

内控审计是指对企业的内部控制体系进行独立评估，以判断其设计和运行的有效性，并提出改进建议的过程。

2.内控审计的目标

(1)评估内控设计的合理性

(2)测试内控运行的有效性

(3)提出改进建议，降低风险

（二）内控审计的重要性

1.提高运营效率

(1)识别和消除不必要的流程

(2)优化资源配置

2.确保财务报告可靠性

(1)降低财务错报风险

(2)提高报告的准确性和及时性

3.遵循法律法规

(1)确保企业行为符合相关法规

(2)减少合规风险

二、内控审计的流程

内控审计通常遵循以下步骤，确保审计工作的系统性和有效性。

（一）审计准备阶段

1.确定审计范围

(1)明确审计对象（如财务、运营、合规等）

(2)确定审计时间范围

2.制定审计计划

(1)确定审计目标和方法

(2)分配审计资源

3.收集相关信息

(1)审计标准和法规文件

(2)企业内部控制文档

（二）审计实施阶段

1.内控评估

(1)了解企业业务流程

(2)识别关键控制点

2.内控测试

(1)选择测试样本

(2)执行穿行测试和细节测试

3.结果分析

(1)评估内控缺陷

(2)确定风险等级

（三）审计报告阶段

1.撰写审计报告

(1)描述审计过程和方法

(2)列出内控缺陷和改进建议

2.报告沟通

(1)与企业管理层沟通审计结果

(2)确保管理层理解并接受建议

3.后续跟踪

(1)监督改进措施的落实

(2)评估改进效果

三、内控审计的关键要点

（一）内控评估的方法

1.文档审查

(1)审查内部控制文档

(2)评估控制设计的合理性

2.现场观察

(1)观察实际操作流程

(2)识别控制执行情况

3.访谈

(1)与关键人员访谈

(2)了解控制执行中的问题

（二）内控测试的技术

1.穿行测试

(1)追踪业务流程

(2)评估控制覆盖范围

2.细节测试

(1)抽取样本进行测试

(2)评估控制运行效果

3.重新执行

(1)由审计人员执行控制程序

(2)评估控制的有效性

（三）内控缺陷的分类

1.设计缺陷

(1)控制设计不合理

(2)控制缺失

2.运行缺陷

(1)控制执行不到位

(2)人员操作失误

根据上述内容，企业可以通过系统性的内控审计工作，有效提升内部控制水平，降低运营风险，确保财务报告的可靠性，并促进企业的可持续发展。

一、企业内控审计概述

内控审计是企业风险管理的重要组成部分，旨在通过系统性的方法评估和改善企业的内部控制体系，确保企业运营效率、财务报告可靠性以及合规性目标的达成。本手册旨在为企业的内控审计工作提供指导，涵盖内控审计的基本概念、流程、方法和关键要点，帮助审计人员及企业管理者有效开展和利用内控审计工作。

（一）内控审计的定义与目标

1.内控审计的定义

内控审计是指由独立的审计人员（或内部审计部门），依据相关的审计标准（如COBIT、ISO31000等框架，或企业内部制定的控制政策和程序），对企业特定期间内内部控制的设计有效性及运行有效性进行的独立评估过程。其核心在于判断内部控制是否能够合理保证企业的财务报告不存在重大错报、经营运营效率效果处于可接受水平，以及企业遵守适用的经营规定和法律法规。

2.内控审计的目标

(1)评估内控设计的合理性

旨在判断企业的控制目标是否明确，控制政策是否健全，控制流程是否被设计用来实现这些目标，以及控制活动是否被合理地嵌入到业务流程中。审计人员需要评价控制设计的逻辑性、充分性和适用性，确保其能够应对相关的风险。

(2)测试内控运行的有效性

旨在判断已设计的内部控制是否在日常经营活动中得到了持续、有效的执行。这包括评估执行控制的人员是否具备必要的权限和技能，控制措施是否按照规定执行，以及是否存在能够绕过控制的情形。

(3)提出改进建议，降低风险

基于评估和测试结果，识别出内控的薄弱环节和缺陷，分析其对实现控制目标的影响程度，并向企业管理层提出具体的、可操作的改进建议，以降低运营风险、财务风险和合规风险。

（二）内控审计的重要性

1.提高运营效率

(1)识别和消除不必要的流程

通过审计，可以发现业务流程中冗余的步骤、不必要的审批环节或重复的操作，提出优化建议，简化流程，从而减少不必要的时间消耗和资源浪费。

(2)优化资源配置

有效的内部控制能够确保资源（如资金、人力、物资）被分配到最需要的地方，防止浪费、舞弊或低效使用。审计有助于揭示资源配置不当的问题。

2.确保财务报告可靠性

(1)降低财务错报风险

内控审计的核心目标之一就是确保财务信息的真实、准确、完整。通过评估和测试与财务报告相关的控制（如授权批准、资产保护、会计记录、财务报告编制和披露等），可以显著降低因错误或舞弊导致的财务错报风险。

(2)提高报告的准确性和及时性

审计发现的控制缺陷有助于改进会计核算和报告流程，确保数据处理的准确性，并可能缩短报告周期，提高信息时效性。

3.遵循合规性要求

(1)确保企业行为符合相关规定

许多行业都有特定的行业规范和标准。内控审计有助于确保企业的运营活动符合这些外部规定以及内部制定的道德准则和行为规范。

(2)减少合规风险

通过识别和改进不合规的内部控制环节，企业可以避免因违反规定而可能面临的罚款、声誉损失或业务中断等风险。

二、内控审计的流程

内控审计通常遵循以下步骤，确保审计工作的系统性和有效性。

（一）审计准备阶段

1.确定审计范围

(1)明确审计对象（如财务、运营、合规等）

需要明确界定审计将覆盖哪些业务领域、部门、流程或交易类型。例如，是针对整个公司的财务报告内部控制，还是特定业务单元（如销售与收款、采购与付款）的运营内部控制，或是与特定法规（如数据保护规定）相关的合规性控制。范围应基于企业的风险状况、管理层要求、前期审计发现以及审计资源的可用性。

(2)确定审计时间范围

需要明确审计所涵盖的期间，通常是上一个完整的财政年度或报告期。对于期中审计，则需要明确起止日期，并考虑期中测试结果的推论局限性。

2.制定审计计划

(1)确定审计目标和方法

审计目标应与总体审计目标保持一致（即评价内部控制的有效性）。方法上，需要明确将采用的风险评估方法（如初步业务活动、穿行测试、风险访谈、数据分析等）和审计测试方法（如询问、观察、检查文件记录、重新执行等）。

示例：审计目标是为财务报告内部控制发表审计意见；方法包括使用连续审计技术分析交易数据，结合穿行测试了解关键业务流程，并对选定的控制点进行测试。

(2)分配审计资源

根据审计范围和复杂性，确定所需审计人员，明确各自的角色和职责。评估所需的时间、技术专长（如IT审计、特定行业知识）以及所需的其他资源（如数据分析工具）。

3.收集相关信息

(1)审计标准和法规文件

收集与审计范围相关的控制标准、框架（如企业自身的内控手册、风险评估文件）以及外部法规、行业准则等。

(2)企业内部控制文档

收集被审计单位的组织结构图、职责说明、授权批准制度、业务流程图、内部控制政策、风险评估记录、过往审计报告及管理层的整改情况等。

（二）审计实施阶段

1.内控评估

(1)了解企业业务流程

审计人员需要通过访谈关键岗位人员、查阅业务文件、观察实际操作等方式，全面了解被审计单位的业务活动是如何进行的，包括主要步骤、涉及部门、关键控制点以及使用的系统。

(2)识别关键控制点

在了解业务流程的基础上，识别出对实现控制目标至关重要的环节，即关键控制点。这些控制点通常是预防或发现错误、舞弊的关键环节。

(3)评估控制设计

对已识别的关键控制点，评估其设计是否合理、充分，能否有效应对相关的风险。考虑因素包括：控制目标是否明确、控制活动是否适当、职责是否分离、信息与沟通是否到位、监督是否有效等。

示例：在评估销售与收款循环的信用批准控制时，需要了解其设计是否规定了明确的信用评估标准和审批权限。

2.内控测试

(1)选择测试样本

基于风险评估结果，确定需要测试的控制点和样本量。样本的选择应具有代表性，能够反映控制的总体运行情况。对于连续审计，可以利用历史数据和自动化工具提高测试的效率和覆盖面。

(2)执行穿行测试和细节测试

穿行测试是为了了解业务流程和控制活动从起点到终点的完整情况，验证控制设计的逻辑性。细节测试是针对特定交易或余额，检查控制是否得到了实际执行。

示例：对采购流程，穿行测试可能涉及从请购单的生成到货物的验收和付款的整个流程；细节测试可能涉及抽取采购订单，追查到入库单和发票，验证审批权限是否得到执行。

执行测试时，应详细记录测试过程、发现的情况，并获取适当的审计证据（如审批记录、系统日志、访谈记录等）。

3.结果分析

(1)评估内控缺陷

根据测试结果，判断每个被测试控制的有效性。识别出控制未能按设计运行的情况，或控制设计本身存在不足之处。根据缺陷的严重程度和影响范围，将其分类（如重大缺陷、重要缺陷、一般缺陷）。

(2)确定风险等级

基于内控缺陷的评估，判断内部控制整体上是否足以提供合理保证。如果存在重大缺陷，则表明内部控制存在重大风险。需要评估这些缺陷对企业运营、财务报告和合规性的潜在影响。

（三）审计报告阶段

1.撰写审计报告

(1)描述审计过程和方法

在报告中清晰地说明审计范围、时间期间、采用的风险评估程序和审计测试程序，以支持审计结论的可靠性。

(2)列出内控缺陷和改进建议

详细描述识别出的内控缺陷（特别是重大缺陷和重要缺陷），分析其产生的原因、潜在影响，并提出具体的、可操作的改进建议。建议应具有针对性和优先级。

(3)形成审计结论

根据整体评估结果，对财务报告内部控制发表审计意见（如：意见表示满意、保留意见、否定意见或无法表示意见）。如果存在重大缺陷，需要在审计报告的强调事项段或其他适当位置予以披露。

2.报告沟通

(1)与企业管理层沟通审计结果

审计报告完成后，应与企业管理层（特别是董事会、审计委员会和高级管理层）就审计发现、结论和建议进行正式沟通。确保管理层理解审计结果及其重要性。

(2)确保管理层理解并接受建议

沟通不仅仅是告知，还需要听取管理层的反馈，就改进措施的可行性、资源需求等进行讨论，争取达成共识，确保建议能够被有效采纳。

3.后续跟踪

(1)监督改进措施的落实

内控审计并非终点。审计部门需要持续关注管理层针对审计发现缺陷所制定的改进计划是否得到有效执行。这可能包括审查改进方案的进展报告、与管理层再次沟通等。

(2)评估改进效果

在一定时间后（例如一个财政年度结束后），重新测试相关的控制点，评估改进措施是否达到了预期效果，内控缺陷是否已经得到解决。这有助于形成闭环管理，并持续提升内部控制质量。

三、内控审计的关键要点

（一）内控评估的方法

1.文档审查

(1)审查内部控制文档

系统性地查阅企业的内部控制手册、政策文件、流程图、职责说明书、授权批准制度等。关注这些文档的完整性、更新频率以及与实际操作的符合性。

(2)评估控制设计的合理性

对照公认的控制标准或最佳实践，判断文档中描述的控制设计是否逻辑清晰、要素齐全、能够有效应对已识别的风险。特别关注职责分离、授权批准、资产保护、独立核查等关键控制要素的设计。

2.现场观察

(1)观察实际操作流程

在业务现场观察员工执行控制程序的过程。这有助于发现文档与实际操作不符的情况，了解控制的实际执行难度和效果。

(2)识别控制执行情况

观察时，重点关注控制活动是否按规程执行、是否有人员绕过控制、使用的工具和系统是否与规定一致、操作环境是否支持控制的有效运行等。

3.访谈

(1)与关键人员访谈

访谈流程中的关键岗位人员，如业务操作人员、审批人员、会计人员、内控部门人员等。了解他们对控制的理解、执行情况、遇到的困难以及建议。

(2)了解控制执行中的问题

通过访谈，可以深入了解控制设计和运行中的实际情况，获取员工对控制有效性的主观判断，发现文档审查和现场观察可能遗漏的问题，如员工对政策的理解偏差、操作中的随意性等。

（二）内控测试的技术

1.穿行测试

(1)追踪业务流程

选择具有代表性的交易或业务活动，从起点到终点，追踪其经过的各个环节、涉及的人员和部门、执行的控制活动以及记录的生成。

(2)评估控制覆盖范围

通过穿行测试，评估控制活动是否被合理地嵌入到了整个业务流程中，是否存在控制盲区或覆盖不足的情况。验证控制设计的整体逻辑性。

示例：测试采购流程的穿行测试，可能从采购申请开始，经过采购部门审批、供应商选择、合同签订、发票收到、入库验收、财务付款等环节，验证每个环节的关键控制（如审批权限、价格验证、验收确认）是否都存在并被执行。

2.细节测试

(1)抽取样本进行测试

从特定的总账科目、明细账、交易记录或文件记录中抽取样本，进行详细的检查。样本的选择应基于风险评估，例如选择异常交易、高风险领域的交易或大额交易。

(2)评估控制运行效果

通过检查样本的详细信息，验证相关的控制活动是否在实际中得到了执行，例如检查审批签字是否齐全有效、附件是否完整合规、记录是否准确无误等，从而判断控制运行的有效性。

示例：测试销售与收款循环的应收账款准确性时，抽取一定数量的客户账单和收款记录，追查至销售合同、发货单和银行对账单，验证金额、客户、付款日期等信息的准确性。

3.重新执行

(1)由审计人员执行控制程序

让审计人员亲自执行被审计单位的某个控制程序，以判断该控制是否能够按照规定的设计得以执行。

(2)评估控制的有效性

如果审计人员能够成功执行该控制，则表明该控制设计是有效的。反之，如果执行失败或遇到障碍，则表明控制设计存在问题或执行不到位。

示例：测试费用报销制度中的“预算审批”控制时，审计人员可以模拟提交一份超出预算的报销单，看其是否真的被拒绝或需要更高层级审批，以判断该控制是否有效执行。

（三）内控缺陷的分类

1.设计缺陷

(1)控制设计不合理

指控制本身的设计就存在不足，无法有效应对被设计来防范的风险。例如，授权权限设置过宽、控制流程过于繁琐导致无法执行、缺乏必要的职责分离等。

(2)控制缺失

指在关键的业务流程或风险点中，本应存在但实际缺失必要的控制活动。例如，对重要的资产没有盘点程序、对异常交易没有预警机制等。

2.运行缺陷

(1)控制执行不到位

指设计合理但未能得到持续、有效的执行。例如，政策制定了但员工不了解或不愿遵守、审批人员经常代签、系统控制被人为绕过等。

(2)人员操作失误

指由于员工的不小心、技能不足或疏忽大意导致控制未能按设计执行。例如，输入错误的数据、忘记执行某个步骤、对审批权限判断错误等。

一、企业内控审计概述

内控审计是企业风险管理的重要组成部分，旨在通过系统性的方法评估和改善企业的内部控制体系，确保企业运营效率、财务报告可靠性以及法律法规遵循性。本手册旨在为企业的内控审计工作提供指导，涵盖内控审计的基本概念、流程、方法和关键要点。

（一）内控审计的定义与目标

1.内控审计的定义

内控审计是指对企业的内部控制体系进行独立评估，以判断其设计和运行的有效性，并提出改进建议的过程。

2.内控审计的目标

(1)评估内控设计的合理性

(2)测试内控运行的有效性

(3)提出改进建议，降低风险

（二）内控审计的重要性

1.提高运营效率

(1)识别和消除不必要的流程

(2)优化资源配置

2.确保财务报告可靠性

(1)降低财务错报风险

(2)提高报告的准确性和及时性

3.遵循法律法规

(1)确保企业行为符合相关法规

(2)减少合规风险

二、内控审计的流程

内控审计通常遵循以下步骤，确保审计工作的系统性和有效性。

（一）审计准备阶段

1.确定审计范围

(1)明确审计对象（如财务、运营、合规等）

(2)确定审计时间范围

2.制定审计计划

(1)确定审计目标和方法

(2)分配审计资源

3.收集相关信息

(1)审计标准和法规文件

(2)企业内部控制文档

（二）审计实施阶段

1.内控评估

(1)了解企业业务流程

(2)识别关键控制点

2.内控测试

(1)选择测试样本

(2)执行穿行测试和细节测试

3.结果分析

(1)评估内控缺陷

(2)确定风险等级

（三）审计报告阶段

1.撰写审计报告

(1)描述审计过程和方法

(2)列出内控缺陷和改进建议

2.报告沟通

(1)与企业管理层沟通审计结果

(2)确保管理层理解并接受建议

3.后续跟踪

(1)监督改进措施的落实

(2)评估改进效果

三、内控审计的关键要点

（一）内控评估的方法

1.文档审查

(1)审查内部控制文档

(2)评估控制设计的合理性

2.现场观察

(1)观察实际操作流程

(2)识别控制执行情况

3.访谈

(1)与关键人员访谈

(2)了解控制执行中的问题

（二）内控测试的技术

1.穿行测试

(1)追踪业务流程

(2)评估控制覆盖范围

2.细节测试

(1)抽取样本进行测试

(2)评估控制运行效果

3.重新执行

(1)由审计人员执行控制程序

(2)评估控制的有效性

（三）内控缺陷的分类

1.设计缺陷

(1)控制设计不合理

(2)控制缺失

2.运行缺陷

(1)控制执行不到位

(2)人员操作失误

根据上述内容，企业可以通过系统性的内控审计工作，有效提升内部控制水平，降低运营风险，确保财务报告的可靠性，并促进企业的可持续发展。

一、企业内控审计概述

内控审计是企业风险管理的重要组成部分，旨在通过系统性的方法评估和改善企业的内部控制体系，确保企业运营效率、财务报告可靠性以及合规性目标的达成。本手册旨在为企业的内控审计工作提供指导，涵盖内控审计的基本概念、流程、方法和关键要点，帮助审计人员及企业管理者有效开展和利用内控审计工作。

（一）内控审计的定义与目标

1.内控审计的定义

内控审计是指由独立的审计人员（或内部审计部门），依据相关的审计标准（如COBIT、ISO31000等框架，或企业内部制定的控制政策和程序），对企业特定期间内内部控制的设计有效性及运行有效性进行的独立评估过程。其核心在于判断内部控制是否能够合理保证企业的财务报告不存在重大错报、经营运营效率效果处于可接受水平，以及企业遵守适用的经营规定和法律法规。

2.内控审计的目标

(1)评估内控设计的合理性

旨在判断企业的控制目标是否明确，控制政策是否健全，控制流程是否被设计用来实现这些目标，以及控制活动是否被合理地嵌入到业务流程中。审计人员需要评价控制设计的逻辑性、充分性和适用性，确保其能够应对相关的风险。

(2)测试内控运行的有效性

旨在判断已设计的内部控制是否在日常经营活动中得到了持续、有效的执行。这包括评估执行控制的人员是否具备必要的权限和技能，控制措施是否按照规定执行，以及是否存在能够绕过控制的情形。

(3)提出改进建议，降低风险

基于评估和测试结果，识别出内控的薄弱环节和缺陷，分析其对实现控制目标的影响程度，并向企业管理层提出具体的、可操作的改进建议，以降低运营风险、财务风险和合规风险。

（二）内控审计的重要性

1.提高运营效率

(1)识别和消除不必要的流程

通过审计，可以发现业务流程中冗余的步骤、不必要的审批环节或重复的操作，提出优化建议，简化流程，从而减少不必要的时间消耗和资源浪费。

(2)优化资源配置

有效的内部控制能够确保资源（如资金、人力、物资）被分配到最需要的地方，防止浪费、舞弊或低效使用。审计有助于揭示资源配置不当的问题。

2.确保财务报告可靠性

(1)降低财务错报风险

内控审计的核心目标之一就是确保财务信息的真实、准确、完整。通过评估和测试与财务报告相关的控制（如授权批准、资产保护、会计记录、财务报告编制和披露等），可以显著降低因错误或舞弊导致的财务错报风险。

(2)提高报告的准确性和及时性

审计发现的控制缺陷有助于改进会计核算和报告流程，确保数据处理的准确性，并可能缩短报告周期，提高信息时效性。

3.遵循合规性要求

(1)确保企业行为符合相关规定

许多行业都有特定的行业规范和标准。内控审计有助于确保企业的运营活动符合这些外部规定以及内部制定的道德准则和行为规范。

(2)减少合规风险

通过识别和改进不合规的内部控制环节，企业可以避免因违反规定而可能面临的罚款、声誉损失或业务中断等风险。

二、内控审计的流程

内控审计通常遵循以下步骤，确保审计工作的系统性和有效性。

（一）审计准备阶段

1.确定审计范围

(1)明确审计对象（如财务、运营、合规等）

需要明确界定审计将覆盖哪些业务领域、部门、流程或交易类型。例如，是针对整个公司的财务报告内部控制，还是特定业务单元（如销售与收款、采购与付款）的运营内部控制，或是与特定法规（如数据保护规定）相关的合规性控制。范围应基于企业的风险状况、管理层要求、前期审计发现以及审计资源的可用性。

(2)确定审计时间范围

需要明确审计所涵盖的期间，通常是上一个完整的财政年度或报告期。对于期中审计，则需要明确起止日期，并考虑期中测试结果的推论局限性。

2.制定审计计划

(1)确定审计目标和方法

审计目标应与总体审计目标保持一致（即评价内部控制的有效性）。方法上，需要明确将采用的风险评估方法（如初步业务活动、穿行测试、风险访谈、数据分析等）和审计测试方法（如询问、观察、检查文件记录、重新执行等）。

示例：审计目标是为财务报告内部控制发表审计意见；方法包括使用连续审计技术分析交易数据，结合穿行测试了解关键业务流程，并对选定的控制点进行测试。

(2)分配审计资源

根据审计范围和复杂性，确定所需审计人员，明确各自的角色和职责。评估所需的时间、技术专长（如IT审计、特定行业知识）以及所需的其他资源（如数据分析工具）。

3.收集相关信息

(1)审计标准和法规文件

收集与审计范围相关的控制标准、框架（如企业自身的内控手册、风险评估文件）以及外部法规、行业准则等。

(2)企业内部控制文档

收集被审计单位的组织结构图、职责说明、授权批准制度、业务流程图、内部控制政策、风险评估记录、过往审计报告及管理层的整改情况等。

（二）审计实施阶段

1.内控评估

(1)了解企业业务流程

审计人员需要通过访谈关键岗位人员、查阅业务文件、观察实际操作等方式，全面了解被审计单位的业务活动是如何进行的，包括主要步骤、涉及部门、关键控制点以及使用的系统。

(2)识别关键控制点

在了解业务流程的基础上，识别出对实现控制目标至关重要的环节，即关键控制点。这些控制点通常是预防或发现错误、舞弊的关键环节。

(3)评估控制设计

对已识别的关键控制点，评估其设计是否合理、充分，能否有效应对相关的风险。考虑因素包括：控制目标是否明确、控制活动是否适当、职责是否分离、信息与沟通是否到位、监督是否有效等。

示例：在评估销售与收款循环的信用批准控制时，需要了解其设计是否规定了明确的信用评估标准和审批权限。

2.内控测试

(1)选择测试样本

基于风险评估结果，确定需要测试的控制点和样本量。样本的选择应具有代表性，能够反映控制的总体运行情况。对于连续审计，可以利用历史数据和自动化工具提高测试的效率和覆盖面。

(2)执行穿行测试和细节测试

穿行测试是为了了解业务流程和控制活动从起点到终点的完整情况，验证控制设计的逻辑性。细节测试是针对特定交易或余额，检查控制是否得到了实际执行。

示例：对采购流程，穿行测试可能涉及从请购单的生成到货物的验收和付款的整个流程；细节测试可能涉及抽取采购订单，追查到入库单和发票，验证审批权限是否得到执行。

执行测试时，应详细记录测试过程、发现的情况，并获取适当的审计证据（如审批记录、系统日志、访谈记录等）。

3.结果分析

(1)评估内控缺陷

根据测试结果，判断每个被测试控制的有效性。识别出控制未能按设计运行的情况，或控制设计本身存在不足之处。根据缺陷的严重程度和影响范围，将其分类（如重大缺陷、重要缺陷、一般缺陷）。

(2)确定风险等级

基于内控缺陷的评估，判断内部控制整体上是否足以提供合理保证。如果存在重大缺陷，则表明内部控制存在重大风险。需要评估这些缺陷对企业运营、财务报告和合规性的潜在影响。

（三）审计报告阶段

1.撰写审计报告

(1)描述审计过程和方法

在报告中清晰地说明审计范围、时间期间、采用的风险评估程序和审计测试程序，以支持审计结论的可靠性。

(2)列出内控缺陷和改进建议

详细描述识别出的内控缺陷（特别是重大缺陷和重要缺陷），分析其产生的原因、潜在影响，并提出具体的、可操作的改进建议。建议应具有针对性和优先级。

(3)形成审计结论

根据整体评估结果，对财务报告内部控制发表审计意见（如：意见表示满意、保留意见、否定意见或无法表示意见）。如果存在重大缺陷，需要在审计报告的强调事项段或其他适当位置予以披露。

2.报告沟通

(1)与企业管理层沟通审计结果

审计报告完成后，应与企业管理层（特别是董事会、审计委员会和高级管理层）就审计发现、结论和建议进行正式沟通。确保管理层理解审计结果及其重要性。

(2)确保管理层理解并接受建议

沟通不仅仅是告知，还需要听取管理层的反馈，就改进措施的可行性、资源需求等进行讨论，争取达成共识，确保建议能够被有效采纳。

3.后续跟踪

(1)监督改进措施的落实

内控审计并非终点。审计部门需要持续关注管理层针对审计发现缺陷所制定的改进计划是否得到有效执行。这可能包括审查改进方案的进展报告、与管理层再次沟通等。

(2)评估改进效果

在一定时间后（例如一个财政年度结束后），重新测试相关的控制点，评估改进措施是否达到了预期效果，内控缺陷是否已经得到解决。这有助于形成闭环管理，并持续提升内部控制质量。

三、内控审计的关键要点

（一）内控评估的方法

1.文档审查

(1)审查内部控制文档

系统性地查阅企业的内部控制手册、政策文件、流程图、职责说明书、授权批准制度等。关注这些文档的完整性、更新频率以及与实际操作的符合性。

(2)评估控制设计的合理性

对照公认的控制标准或最佳实践，判断文档中描述的控制设计是否逻辑清晰、要素齐全、能够有效应对已识别的风险。特别关注职责分离、授权批准、资产保护、独立核查等关键控制要素的设计。

2.现场观察

(1)观察实际操作流程

在业务现场观察员工执行控制程序的过程。这有助于发现文档与实际操作不符的情况，了解控制的实际执行难度和效果。

(2)识别控制执行情况

观察时，重点关注控制活动是否按规程执行、是否有人员绕过控制、使用的工具和系统是否与规定一致、操作环境是否支持控制的有效运行等。

3.访谈

(1)与关键人员